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(57) Abstract: The invention relates to a group of public-key cryptography schemas that use the discrete logarithm problem with 
\=N the purpose of reducing the cost of developing, producing and maintaining a cryptographic unit. One of the entities (10) performs 
a calculation comprising at most a small number of additions, subtractions and multiplications of integers, said calculation being 
common to all of the schemas of the group. The aforementioned calculation is preferably the main calculation to be performed by 
the entity in question while most of the other calculations can be performed in advance. In particular, said calculation is of the y = 
^ ar + bs type, wherein r is a random number and s is a secret key that is specific to the entity (10). The calculation is common to a 
gj^ group of schemas for entity authentication, message authentication, digital signatures and key exchange. 
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(57) Abrege : Pour reduire le cout de developpement, de fabrication et de maintenance d'une unite cryptographique, I'invention 
propose une famille de schemas de cryptographic a cle* publique utilisant le probleme du logarithme discret. L'une des entites (10) 
effectue un calcul consume* au plus d'un petit nombre d' additions, de soustractions et de multiplications d'entiers, ce calcul 6tant 
commun a tous lcs schemas dc la famille. Dc preference, cc calcul est le principal calcul a effectuer par l'entitc* en question, l'esscntiel 
des autres calculs pouvant etre effectue* a Tavance. Ce calcul peut notamment etre du type : y = ar + bs, ou r est un nombre aleatoire 
et s une cle* secrete propre a l'entite* (10). 11 est commun a une famille de schemas d'authentification d'entitd, d'authentification de 
message, de signature num&ique de message et d'echange de cle\ 
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PROCEDE DE REALISATION D'UNE UNITE CRYPTOGRAPHIQUE 
POUR UN SYSTEME DE CRYPTOGRAPHIE ASYMETRIQUE 
UTILISANT UNE FONCTION LOGARITHME DISCRET 

La presente invention relive du domaine technique de la 
5 cryptographie, et plus precisement de la cryptographie dite £ asymetrique ou £ 
cle publique. 

Dans ce type de cryptographie, chaque utilisateur d6tient une paire de 
c!6s pour un usage donn6, constitu6e d'une cl§ secrete et d'une cl6 publique 
associGe. 

10 Par exemple, s'il s'agit d'une paire de cles d6di6e a la confidentiality, 

alors la cl6 publique est utilis6e pour chiffrer les donn6es, tandis que la cl6 
secrete est utilisee pour les dechiffrer, c'est-S-dire pour r6tablir ces donn6es en 
clair. S'il s'agit d'une paire de cles dediee a Tauthenticite des donn6es, alors la 
cle secrete est utilisee pour signer num6riquement les donnees, tandis que la 

15 cle publique est utilis6e pour verifier la signature num6rique. D'autres usages 
(authentification d'entite, echange de cles etc.) sont possibles. 

La cryptographie a cle publique est d'une grande utilite dans la mesure 
oCi, contrairement £ la cryptographie a c!6 secrete, elle n'exige pas que les 
interlocuteurs partagent un meme secret afin d'etablir une communication 

20 s6curis6e. Cependant, cet avantage en termes de s6curit6 s'accompagne d'un 
desavantage en termes de performance, car les proc6des de cryptographie a 
cle publique (appeles encore « schemas a cle publique ») sont, & ressources 
egales, souvent cent ou mille fois plus lents que les procedes de cryptographie 
dite a cl6 secrete (appeles encore « sch6mas a cl6 secrete »). II en rGsulte, 

25 pour obtenir des temps de calcul raisonnables, que le cout des circuits mettant 
en oeuvre ces algorithmes est souvent tres 6lev6. 

C'est particulterement vrai du schema de chiffrement et de signature 
numerique dit RSA (voir R.L. Rivest, A. Shamir et L.M. Adleman, « A Method 
for Obtaining Digital Signatures and Public-Key Cryptosystems », 

30 Communications of the ACM, Vol. 21, n° 2, pp. 120-126, fevrier 1978). Ce 
schema repose sur la difficulty du probleme de la factorisation des entiers : 
etant donne un grand entier (typiquement plus de 1000 bits dans sa 
representation en base 2) egal au produit de deux ou plusieurs facteurs 
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premiers de tallies comparables, il n'existe pas de methode efficace pour 
retrouver ces facteurs premiers. Les calculs effectu6s dans ce schema portent 
done sur des nombres tr6s grands, lis ne peuvent etre effectuSs en moins 
d'une seconde sur une carte a puce que si cette derniere est dotee d'un 

5 co-processeur cryptographique specialise, qui en augmente considerablement 
le cout. De plus, comme I'efficacite des methodes de factorisation s'accroit 
assez rapidement avec le temps, les longueurs de c!6s doivent etre souvent 
r6vis6es £ la hausse, au detriment des performances. 

La question de reduire le coQt des puces mettant en oeuvre des 

10 schemas a cl6 publique se pose done. 

II y a principalement deux approches pour aborder cette question. La 
premiere consiste £ specifier de nouveaux schemas cryptographiques, de 
preference (mais pas necessairement) bases sur des problemes autres que la 
factorisation, qui permettent d'accelerer de fagon significative les temps de 

15 calcul. Cette voie est tres exploree, et a donne lieu a de nombreux resultats. 
Cependant, dans la tres grande majority des cas, ou bien Amelioration par 
rapport au RSA n'est pas assez significative pour en envisager le 
remplacement, ou bien la s6curit6 n'est pas suffisamment bien 6tablie. 

La seconde approche consiste a fabriquer des puces en telle quantity 

20 que leur cout diminue dans de grandes proportions. C'est peut-etre ce qui se 
produira avec le RSA si les organismes bancaires internationaux confirment le 
choix de ce schema pour les futures cartes bancaires & puce. Cependant, le 
coOt d'une puce RSA est a I'origine tenement 6leve qu'il restera toujours 
substantiel, quel que soit le nombre de puces fabriquees. 

25 On notera que beaucoup de schemas cryptographiques a cl6 publique 

ont en commun d'utiliser comme operations de base des operations sur des 
entiers, telles que des multiplications modulaires (ab (modulo n)), des divisions 
modulaires (a/b (modulo n)), ou encore des exponentiations modulaires 
(a b (modulo n)), ou a, b et n sont des entiers. Cependant, ces operations ne 

30 sont jamais exactement les memes. En consequence, chaque fois que le 
schema cryptographique est modifie il faut changer le programme ou le circuit 
du dispositif de s6curite qui effectue les calculs cryptographiques. 

La presente invention a pour but de diminuer le cout des unites 
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cryptographiques a cles publiques en combinant les deux approches ci-dessus. 

L'invention propose ainsi un proc6d6 de realisation d'une unite 
cryptographique associee a une cle secrete entiere s dans un systeme de 
cryptographie asyrrtetrique, dans lequel on 6quipe I'unite cryptographique d'un 

5 composant realise ind6pendamment du systeme de cryptographie et adapte 
pour delivrer un entier y par une combinaison entre plusieurs op6randes entiers 
incluant un nombre ateatoire r, la cl§ secrete s et au moins un op6rande 
supptementaire (a, b). Apres avoir selectionn6 le systeme de cryptographie, en 
associant a la cl6 secrete s une cle publique comprenant au moins un element 

10 g d'un ensemble G muni d'une operation de multiplication, on 6quipe I'unite 
cryptographique d'un g6n6rateur de jeux de donn6es cryptograph iques 
comprenant chacun un nombre aleatoire r soumis comme op6rande audit 
composant et une valeur x dependant de I'element g r de I'ensemble G, d6livr6e 
par I'unite en association avec rentier y. 

15 Le composant, qui peut consister en une ou plusieurs portions de 

circuit ou en un ou plusieurs modules logiciels, applique une composante 
cryptographique de base tres rapide a ex6cuter, qui peut avantageusement 
etre commune a un nombre 6leve de schemas cryptographiques difterents : 
sch6mas d'authentification, de signature, d'echange de c!6s etc., utilisant des 

20 objets matftematiques divers (ensembles G et operations de multiplication 
permettant de definir une vartete de fonctions logarithme discret). 

Le fait que ce composant soit commun a un nombre 6lev6 de sch6mas 
permet d'amortir mieux les couts de developpement et de fabrication 
industriels. On peut avantageusement produire en tr&s grande quantite des 

25 unites g6neriques (par exemple des cartes a puce) munies du composant, 
sachant que ces unites seront adaptees & tous les schtemas de la famille 
considers et qu'elles permettront le plus souvent d'atteindre les performances 
exigees par telle ou telle application. 

Plus particulierement, la cle publique comprend de plus un element v 

30 de I'ensemble G tel que v = g s ou v = g s . Le proc6d6 donne lieu & des unites 
cryptographiques pouvant appliquer toute une famille de scftemas fondes sur le 
probleme du logarithme discret g6n6ralise. Ce probleme peut Stre 6nonc6 dans 
sa generality de la fa?on suivante : soit G un ensemble muni d'une operation 
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de multiplication (c'est-^-dire d'une fonction qui, & deux 6l6ments a et b, 
associe un element note « a.b », ou simplement « ab », appele produit de a et 
b), g un element de G, u un (grand) entier et w I'6l6ment de G d6fini par : 
w = g u (c'est-a-dire le produit gg...g avec u occurrences de g) ; alors il est 
5 impossible en pratique de retrouver u a partir de g et w. 

Le brevet europSen 0 666 664 d6crit un exemple de schema de 
signature electronique de ce type, ou G est I'ensemble des entiers aux moins 
egaux £ 0 et plus petits que n, et I'operation de multiplication est le produit 
usuel entre entiers, modulo n. 
10 Avec le proc6d6 selon i'invention, s'il advient que, pour un ensemble G 

donn£ et une certaine operation de multiplication, on decouvre des algorithmes 
de calcul de logarithme discret beaucoup plus efficaces que ceux 
precedemment connus, alors il suffit de changer Tensemble dans lequel les 
calculs sont effectues et/ou ('operation de multiplication pour retrouver le 
15 niveau de s6curite voulu. 

Le probieme du logarithme discret peut etre a priori enonce dans tout 
ensemble muni d'une operation. Cependant, afin que le calcul d'une 
exponentielle puisse etre effectue en un temps court et fournir un resultat de 
petite taille, certaines propriet6s sont requises, de sorte qu'actuellement les 
20 ensembles les plus appropries sont des groupes. Entre autres proprietes, un 
groupe contient toujours un element neutre, c'est-a-dire un element note e (ou 
simplement 1) tel que les produits s.a et a.e sont tous deux egaux a a, et ce 
pour n'importe quel element a. De plus, tout element a poss&ie dans le groupe 
un inverse note a" 1 , c'est-a-dire un element tel que les produits a~ 1 .a et a.a~ 1 
25 soient tous deux 6gaux a e. Des exemples typiques de groupes utilises en 
cryptographie sont les anneaux ou corps d'entiers et les courbes elliptiques. 

On peut ainsi definir un composant cryptographique qui ne depende en 
aucune maniere du groupe considere ou plus gen6ralement de I'ensemble G 
consid6r£. Cela implique en premier lieu que ce composant n'agisse pas sur 
30 des elements de I'ensemble lui-meme. Cela implique egalement qu'il ne 
depende pas de caract£ristiques du groupe ni de reiement g consid6r6, en 
particulier de I'ordre de g dans G, c'est-a-dire du plus petit entier non nul q (s'il 
existe) verifiant g9 = e. 
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Dans une realisation pr6f6r6e de flnvention, la combinaison op6r6e par 
le composant est uniquement constitute d'un petit nombre d'additions, de 
soustractions et de multiplications entre des entiers, dont aucun n'a de lien 
avec les caracteristiques de G et de g. En particulier, cette combinaison peut 
5 etre de la forme y = ar + bs, ou a et b sont deux operandes entiers 
suppiementaires. Une simplification consiste encore a prendre a = 1 ou b =1. 

Un avantage de ce choix d'un tel composant est sa rapidity : s'il n'y a 
que peu de multiplications a effectuer (une ou deux), le composant sera de 
grande rapidite (quelques millisecondes) et pourra etre incorpore dans tout 
10 environnement, notamment dans une carte & microprocesseur a bas cout. 

On pourra constituer le generateur de jeux de donnees 
cryptographiques en associant un g6nerateur de nombres aleatoires a un 
module de calcul d'exponentielles sur Tensemble G. 

Mais dans la realisation pref6r6e du proc6d6, le gen6rateur de jeux de 
15 donn6es cryptographiques comporte une m6moire programmable pour recevoir 
des couples {r, x} ou {r, g 1 } calculus & Tavance. De cette fagon, I'unite 
cryptographique peut etre realis6e dans son integrality de fa$on ind6pendante 
de I'ensemble G et de Toperation de multiplication qui sont retenus. II ne reste 
plus qu'a ecrire la cl6 secrete s et un certain nombre de couples {r, x} ou {r, g 1 } 
20 calculus & I'avance dans la memoire programmable. En fonctionnement, le 
composant commun realisera le seul calcul requis au niveau de I'unite 
cryptographique. 

Le fait que I'unite puisse ainsi etre utilisee de maniere autonome 
permet d'ameliorer encore ramortissement des couts de developpement et de 

25 fabrication puisque le meme circuit (et non plus seulement la meme partie de 
circuit) pourra etre utilise dans diverses applications vis£es. De plus, le fait que 
le composant soit d'execution tres rapide permet de Timplanter dans des 
circuits £ tres bas cout, et done, en mode autonome, dans des unites tres peu 
cheres telles que des cartes & microprocesseurs standards, avec ou sans 

30 contacts. 

Un avantage supplemental de cette autonomie est la possibilite de 
pouvoir changer le schema cryptographique, par exemple parce que ce dernier 
serait casse (c'est-£-dire que des attaques auraient ete trouv6es qui reduiraient 
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considerablement le niveau de security qu'il fournit), sans avoir £ developper et 
fabriquer un autre circuit, avec les gains en productivity qui en r6sultent. 

Si, de surcroTt, I'unite utilise une valeur x dont la longueur n'est pas 
destinee a varier avec le temps (par exemple parce que son calcul & partir de 

5 g r fait intervener une fonction de hachage predefinie), alors on peut aussi, tout 
en conservant le m§me schema, changer les longueurs des autres cles 
utilis6es sans avoir a developper et fabriquer un autre circuit. 

De plus, dans ces deux dernieres situations, non seulement il n'y pas 
lieu de developper et fabriquer un autre circuit, mais, si ce dernier est congu de 

10 maniere adequate, il n'y a meme pas lieu de changer les dispositifs de s6curit6 
(par exemple les cartes a puce) qui les contiennent, m§me apr§s que ces 
dispositifs ont ete deploy6s. Cet avantage est tres important car le fait de 
changer le circuit ou le programme d'un circuit dans un dispositif de s6curite 
d6ja en circulation (ou encore le dispositif de security lui-m§me) est toujours 

15 une operation tres coQteuse. 

L'invention peut etre avantageusement utilisee par les fabricants de 
semi-conducteurs produisant des puces s6curis6es, les industriels fabriquant 
des dispositifs de securite £ partir de ces puces, tels que des encarteurs 
(cartes a puce avec ou sans contacts), et les organismes (banques, op6rateurs 

20 de telecommunications, transporteurs, etc.) d6ployant de tels dispositifs, pour 
lesquels le remplacement des unites cryptographiques induit un cout 6lev6 de 
d6veloppement, de fabrication, de gestion ou de maintenance. 

En resume, l'invention donne lieu a une famille de schemas de 
cryptographie a cle publique utilisant le probl6me du logarithme discret, dans 

25 laquelle Tune des entites effectue un calcul constitue au plus d'un petit nombre 
d'additions, de soustractions et de multiplications d'entiers, ce calcul 6tant 
commun a tous les schemas de la famille. Ce calcul represente de preference 
Tessentiel des calculs & effectuer par cette entite, car I'essentiel des autres 
calculs peut etre effectue a Tavance. 

30 D'autres particularites et avantages de la pr6sente invention 

apparaitront dans la description ci-apr£s d'exemples de realisation non 
limitatifs, en reference aux dessins annexes, dans lesquels les figures 1 a 4 
sont des schemas synoptiques d'unites cryptographiques realisees 
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conform6ment a Tinvention. 

On considere ci-apres une famille de protocoles d'authentification 
d'entite, avec extensions & I'authentification de messages et a la signature 
num6rique de messages, et de protocoles d'6change de cles mettant tous en 
5 oeuvre un composant commun. Uauthenticite d'une cle publique d'une entite A 
utilisee par une autre entite B, est supposee avoir 6t6 prSalablement verifiee 
par cette entity B. 

Soit G un ensemble muni d'une operation de multiplication et g un 
element de G. La cle secrete de I'entite A est un entier s. II est a noter que la 
10 taille de cet entier s (nombre de bits de sa decomposition en base 2) est 
independante de G et de g. La cle publique associee a s pour I'entite A est le 

couple {g, v} p ou v = g s . 

Dans un exemple de realisation de I'invention, I'authentification de 
I'entite A par I'entite B se deroule comme suit : 

15 1 . A choisit au hasard un entier r, calcule x = g r et envoie x a B ; 

2. B choisit au hasard deux operandes entiers a et b et les envoie a A ; 

3. A calcule y = ar + bs et envoie y a B. 

4. B v6rifie que gV = x a v b . 

Beaucoup de variantes de ce protocole de base sont possibles, ainsi 
20 que son adaptation a Tauthentification de message et a la signature num6rique 
de message : 

- on peut fixer par avance a ou b £ une valeur non nulle (par exemple 
a = 1), auquel cas cet op6rande n'a pas besoin d'etre transmis et la 
combinaison y = ar + bs ne comporte plus qu'une multiplication ; 

25 - on peut remplacer y = ar + bs par y = ar - bs et I'equation de verification 
par : gVv b = x a ; 

- on peut remplacer y = ar + bs par y = bs - ar et I'equation de verification 
par ; gVx a = v b ; 

- on peut remplacer y = ar + bs par y = - ar - bs et Tequation de 
30 verification par : gVx a v b = 1 ; 

- si G est un groupe, on peut inverser le signe de la cle secrete s, c'est-a- 
dire prendre v = g~ s = (g s )" 1 , auquel cas I'equation de verification 



r 
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devient : gyv b = x a ; ce choix peut bien sur etre combine avec Tune 
quelconque des variations pr6c6dentes ; 

- dans chaque cas ou liquation de verification est de la forme gyv b = x, ce 
qui suppose a = 1, on peut remplacer x = g r par x = f(g r ), ou f est une 

5 fonction, par exemple 6gale & (ou incluant) une fonction de hachage 

cryptographique ; liquation de verification devient alors : f(gyv b ) = x ; 

- dans chaque cas encore ou liquation de verification est de la forme 
gyv b = x, ce qui suppose a = 1, si M est un message a certifier par A, on 
peut remplacer x = g r par x = f(g r , M), ou f est une fonction, par exemple 

10 6gale a (ou incluant) une fonction de hachage cryptographique ; 

liquation de verification devient alors: f(gyv b M) = x; le protocole 
obtenu est un protocole d'authentification de message ; 

- dans chaque cas encore ou Tequation de verification est de la forme 
gVv b = x, ce qui suppose a = 1 , si M est un message & certifier par A, on 

15 peut remplacer x = g r par x = f(g r , M), ou f est une fonction, par exemple 

6gale & (ou incluant) une fonction de hachage cryptographique, puis 
calculer b = h(x) ou h est une fonction sans proprietes cryptographiques 
particulieres, par exemple I'identite ; dans ce cas I'etape 2 ne fait plus 
intervenir I'entite A ; liquation de verification devient : f(gVv h W, M) = x ; le 

20 protocole obtenu est un protocole de signature num£rique de message 

(dans le cas particulier ou G est I'ensemble des entiers non n6gatifs 
inferieurs a n et ou ('operation est la multiplication modulo n, on retrouve 
alors le schema de signature electronique decrit dans le brevet europeen 
0 666 664). 

25 On constate qu'a I'etape 3, I'entite A a uniquement une addition et une 

ou deux multiplications d'entiers & effectuer. On constate 6galement que cette 
combinaison est independante de Tensemble G choisi. On constate enfin que 
I'autre calcul (x = g r ou f(g r )) que doit effectuer A peut I'etre a I'avance. II est 
done possible de calculer un certain nombre de valeurs de g r (auxquelles on 

30 applique une fonction f ou non) £ I'avance, puis de les stocker dans une 
m6moire programmable en association avec les nombres al6atoires r 
correspondants. 
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Avec les m§mes parametres, auxquels on ajoute une cl6 privee s' et 
une cle publique associ6e g\ v' pour I'entite B, obtenue selon les memes regies 
que pour I'entite A avec g' = g : v' = g s ', un protocole d'echange de cles peut 
etre defini comme suit : 

5 1. A choisit au hasard un entier r, calcule x = g r et envoie x £ B ; A 
calcule la cl6 commune K = v' r (= g s ' r ) ; 

2. B choisit au hasard deux op6randes entiers a et b et les envoie a A ; 

3. A calcule y = ar + bs et envoie y § B. 

4. B verifie que g^ = x a v b . B calcule la cle commune : K = x s (= g rs ') 

10 Ce protocole permet d'une part d'echanger une cle selon le schema de 

Diffie-Hellman, d'autre part d'authentifier de part et d'autre la cl§ echang6e. La 
cl6 commune K pourrait aussi §tre calculee comme une fonction pred6terminee 
de v ,r . 

On constate de nouveau qu'a Petape 3, I'entit6 A a uniquement une 

15 addition et une ou deux multiplications d'entiers a effectuer. On constate 
6galement que cette combinaison est independante de Tensemble G choisi. On 
constate enfin que les autres calculs que doit effectuer I'entite A peuvent T§tre 
a Tavance. II est done possible de calculer un certain nombre de valeurs de x et 
de K a Tavance, puis de les stocker dans une m6moire programmable. 

20 Ainsi en d§veloppant un programme ou un circuit mettant en oeuvre la 

seule fonction y * ar + bs (ou Tune des variantes mentionn6es plus haut), on 
obtient une brique logicielle ou materielle de base susceptible d'etre utilis6e 
dans des schemas cryptographiques differents, remplissant des roles differents 
tels que Tauthentification, Techange de cle etc. Un schema remplissant un role 

25 donne peut meme etre modifi6 pendant la duree de vie du dispositif de securite 
incluant ce programme ou ce circuit. Par exemple, il est possible de remplacer 
le schema d'authentification par un autre, ou de conserver le meme mais en 
modifiant Tensemble ou le groupe G dans lequel les calculs sont effectu6s. En 
effet, ces modifications n'ont d'impact que sur les valeurs calculees a Tavance, 

30 mais pas sur le composant en lui-meme. 

La figure 1 montre sch6matiquement un exemple d'unite 
cryptographique A r6alis6e suivant I'invention. Cette unit6 consiste en une puce 
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ayant une region 10 £ laquelle Tacc6s est protege par des techniques bien 
connues de Thomme du metier. 

La region protegee 10 comporte la memoire programmable 11 destinee 
a recevoir d'une part (a cie secrete s de Tunite A (zone 12), et d'autre part des 

5 couples {r f g 1 } determines independamment de s une fois que Tensemble G et 
son operation de multiplication auront 6te definis (zone 13). La region protegee 
10 comporte en outre le composant 15 servant a calculer rentier y = ar + bs en 
fonction d'un entier aleatoire r re$u de la zone de memoire 13, de la cl6 secrete 
s re?ue de la zone de memoire 12 et des deux operandes suppiementaires a, b 

10 soumis par un module de controle 1 6. 

Differentes fagons de memoriser plusieurs couples {r, g r } dans la zone 
13 sont possibles. Chaque valeur de r et chaque valeur de g r peuvent par 
exemple etre stockees in extenso dans une table avec une correspondance 
associative entre la valeur de r et la valeur de g r du mSme couple. 

15 Avantageusement dans des microcircuits a taille memoire limitee, un simple 
index est associe d chaque valeur deg r de fa?on a economiser la place 
memoire qui serait necessaire a la memorisation de plusieurs valeurs de r, 
gen£ralement grandes. Les differentes valeurs de r sont pre-calculees au 
moyen d'un generateur pseudo aleatoire a partir d'une valeur germe r 0 et de 

20 Tindex correspondant de fa^on ^ pr6-calculer et a stocker la valeur de g r pour 
cet index. La memoire programmable 1 1 comprend alors le generateur pseudo 
aleatoire et initialement la valeur germe r 0 de fa?on a recevoir chaque valeur de 
r a partir de Tindex correspondant en activant le g6n6rateur pseudo aleatoire 
sans avoir a stocker in extenso chaque valeur de r pour lui faire correspondre 

25 la valeur de g r gr§ce a Tindex. 

En r£ponse £ une requ§te d'authentification issue d'une entity distante 
B, le module de contrdle 16 commande la zone de memoire 13 pour qu'elle 
deiivre un entier r adresse au composant 15 ainsi que Teiement associe g r de 
Tensemble G, qui pourra constituer la valeur x transmise 3 Tentite B. Le module 

30 de contrdle 16 presente en outre au composant 15 les operandes 
suppiementaires a, b re?us de Tentite B, puis communique a Tentite B Tentier y 
retourne par le composant. L'entite B, qui connait la c!6 publique g, v, pourra 
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alors authentifier A e I'aide de liquation de verification = x a v b . 

Dans la variante de la figure 2, Tunite A assure I'authentification de 
messages M. La region prot6g6e 10 et le module de contrdle 16 sont 
essentiellement les memes que dans I'exemple de la figure 1, en fixant a = 1. 

5 La zone protegee 10 est completee par un module de hachage 18 qui applique 
une fonction de hachage cryptographique pr6determin6e f. Les arguments de 
cette fonction f sont I'6l6ment g r issu de la zone de memoire 13 et le message 
a certifier M fourni par le module de contrSle 16. Le resultat x est adresse au 
module de controle 16 qui le communique a I'entite B. 

10 Le module de hachage 18 pourrait aussi etre present dans la 

realisation selon la figure 1, sans I'argument M (ou avec une valeur par defaut 
de cet argument), afm de produire une valeur de cie x ayant une taille sp6cifiee 
independamment de I'ensemble G. 

On voit done que le m§me circuit convient pour les deux applications. 

15 II en est de meme pour I'unite selon la figure 3, qui assure la signature 

de messages M, e'est-a-dire independamment des entites qui examineront 
eventuellement cette signature. Si le resultat x delivr6 par le module de 
hachage 18 se presente comme un entier, on peut le fournir au composant 15 
en tant qu'operande b. II est aussi possible de lui appliquer prealablement une 

20 fonction h, comme indiqu6 precedemment. 

Dans la realisation selon la figure 4, la zone de memoire 13 associe en 
outre & chaque nombre al6atoire r une cie de session secrete K d6termin6e en 
fonction de la cle publique g, v' de Tentite B (qui doit done §tre connue 
d'avance) : K = v ,f . Cette cle de session K est adressee a une unite 20 de 

25 cryptographie a cle secrete fonctionnant de fa9on classique selon un 
algorithme de cryptographie symetrique, de fa$on a etre utilisable dans une 
communication avec Tentite B. Celle-ci s'assure de Tintegrite de la cie secrete 
K e I'aide de requation de verification gV = x a v b ou de Tune de ses variantes 
d6crites precedemment. 
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REVENDICATIONS 

1 . Procede de realisation d'une unite cryptographique associee & une 

cle secrete entiere s dans un systeme de cryptographie asymetrique, 
caracterise en ce qu'on equipe I'unite cryptographique d'un composant (15) 

5 realist ind6pendamment du systeme de cryptographie et adapts pour delivrer 
un entier y par une combinaison entre plusieurs operandes entiers incluant un 
nombre aleatoire r, la cle secrete s et au moins un op6rande supplSmentaire 
(a, b), et en ce qu'apres avoir selectionne le systeme de cryptographie en 
associant & la cle secrete s une cl6 publique comprenant un premier 6l6ment g 

10 d'un ensemble G muni d'une operation de multiplication, on equipe I'unite 
cryptographique d'un g6nerateur (13) de jeux de donnees cryptographiques 
comprenant chacun un nombre alSatoire r soumis comme operande audit 
composant et une valeur x dependant de I'element g r de I'ensemble G, d6livr£e 
par I'unite en association avec rentier y. 

15 2. Procede selon la revendication 1, dans lequel la cle publique 

comprend un deuxieme element v de Tensemble G tel que v = g s ou v = g~ s . 

3. Proc6de selon la revendication 1 ou 2, dans lequel le g6n6rateur de 

jeux de donnees cryptographiques comporte une memoire programmable (13) 
pour recevoir des couples {r ( x} ou {r f g 1 } calcules a I'avance. 

20 4. Procede selon Tune quelconque des revendications pr6c6dentes, 

dans lequel la combinaison effectu6e par ledit composant (15) est de la forme 
y = ar + bs, ou a et b sont deux operandes supptementaires. 

5. Procede selon la revendication 4, dans lequel les operandes 
supplementaires a et b sont regus d'une unite de verification S laquelle sont 

25 envoyes la valeur x et rentier y. 

6. Proc6d6 selon la revendication 4, dans lequel Tune des operandes 
supptementaires (a) est 6gale a 1 . 
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7. Proc6de selon la revendication 6, dans lequel I'ensemble G muni de 
Pop6ration de multiplication poss6de une structure de groupe. 

8. Proc6d6 selon la revendication 7, dans lequel on agence ledit 
composant (15) de fagon que Pautre opSrande supplemental (b), soit re<?ue 

5 d'une unite de verification S laquelle sont envoyes la valeur x et rentier y, et 
dans lequel Pobtention de la valeur x en fonction de I'etement g r comporte 
I'application d'une fonction de hachage. 

9. Procede selon la revendication 7 ou 8 pour la realisation d'une unite 
cryptographique mettant en oeuvre un protocole d'authentification de message, 

10 dans lequel on agence ledit composant (15) de fagon que I'autre op6rande 
supplemental (b) soit re$u d'une unite de verification a laquelle sont envoyes 
la valeur x et rentier y, et dans lequel la valeur x est une fonction de reiement 
g r et du contenu d'un message (M) £ certifier par un dispositif incorporant 
I'unite cryptographique. 

15 10. Procede selon Tune quelconque des revendications 7 d 9 pour la 
realisation d'une unite cryptographique mettant en oeuvre un protocole de 
signature numerique de message, dans lequel I'operande supplemental b est 
calcuie en fonction de la valeur x, et dans lequel la valeur x est une fonction de 
reiement g r et du contenu d'un message (M) a certifier par un dispositif 

20 incorporant I'unite cryptographique. 

11. Procede selon Tune quelconque des revendications prec6dentes 
pour la realisation d'une unite cryptographique mettant en oeuvre un protocole 
d'echange de cies, dans lequel on equipe I'unite cryptographique de moyens 
de communication avec une autre unite cryptographique & laquelle sont 

25 envoy6s la valeur x et rentier y, ladite autre unite cryptographique etant 
associ6e a une autre cie secrete entiere s\ dans lequel la selection du systeme 
de cryptographie comporte Tassociation a la cle secrete s' d'une cie publique 
composee de reiement g et d'un autre element v' de I'ensemble G tel que 
v' = g s ', dans lequel chaque jeu de donnees cryptographiques produit par ledit 

30 generateur (13) comprend, outre le nombre aieatoire r et ladite valeur x, une 
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cle commune K dependant de I'element v' r de I'ensemble G, qui n'est pas 
transmise a ladite autre unite cryptographique. 

12. Precede selon la revendication 1 1 , dans lequel le generateur de jeux 
de donnees cryptographiques comporte une memoire programmable (1 3) pour 
5 recevoir des triplets {r, x, K} ou {r, g r , v ,f ) calcules a I'avance. 
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